LinuCレベル3 303試験の例題と解説
325.1X.509 証明書と公開鍵の基礎
■トピックの概要
このトピックの内容は以下の通りです。
<325.1 X.509 証明書と公開鍵の基礎>
重要度 5
<説明>
X.509 証明書と公開鍵の基礎について理解していることが求められる。OpenSSLを使用しての認証局を作成したり、さまざまな目的にSSL証明書の発行する方法も含まれる。
<主要な知識範囲>
・X.509 証明書、X.509 証明書のライフサイクル、X.509 証明書のフィールドおよびX.509v3 証明書の拡張についての理解。
・トラストチェーンと公開鍵の基礎についての理解。
・公開鍵と秘密鍵の生成と管理。
・セキュアな認証局の作成と運用。
・サーバー証明書とクライアント証明書の要求、署名、管理。
・証明書と認証局の廃止。
<重要なファイル、用語、ユーティリティ>
opensslとそのサブコマンド
OpenSSL の設定
PEM, DER, PKCS
CSR
CRL
OCSP
■例題
X.509 証明書のフィールドの説明として、誤っているものを選択してください。
1. Subjectフィールドは、証明書の識別子が記述される
2. Issuerフィールドは、証明書を発行した認証局の識別子が記述される
3. SerialNumberフィールドは、証明書を識別するための同一の認証局内においてユニークな値が記述される
4. NotBeforeフィールドは、証明書が無効になる日付が記述される
※この例題は実際のLinuC試験問題とは異なります。
解答と解説
答えは「4. NotBeforeフィールドは、証明書が無効になる日付が記述される」です。
「#」から始まる部分が解説にあたります
-----------------------------------------------------------------
Certificate:
Data:
# X.509規格のバージョン情報
Version: 3 (0x2)
# 同一認証局(CA)で作成された証明書を区別するためのシリアル
Serial Number:
0e:64:c5:fb:c2:36:ad:e1:4b:17:2a:eb:41:c7:8c:b0
# 署名の暗号アルゴリズム
Signature Algorithm: sha256WithRSAEncryption
# 証明書を署名したCAの識別子
Issuer: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert SHA2 High Assurance Server CA
# 発行日・有効期限情報
Validity
# 発行日
Not Before: Nov 3 00:00:00 2015 GMT
# 有効期限
Not After : Nov 28 12:00:00 2018 GMT
# 証明書の識別子
Subject: C=US, ST=California, L=Los Angeles, O=Internet Corporation for Assigned Names and Numbers, OU=Technology, CN=www.example.org
# 公開鍵の情報
Subject Public Key Info:
# 公開鍵の暗号アルゴリズム
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
(ハッシュ値のため省略)
Exponent: 65537 (0x10001)
X509v3 extensions:
(拡張フィールドのため省略)
# CAによるデジタル署名の情報
Signature Algorithm: sha256WithRSAEncryption
(ハッシュ値のため省略)
-----------------------------------------------------------------
上記の通り、Not Beforeフィールドは証明書の発行日を表します。このため
「4. NotBeforeフィールドは、証明書が無効になる日付が記述される」は、誤りです。
X.509証明書のフィールドは、フィールドの意味を理解していないと何の情報かがわかりません。
特に証明書に関連するトラブルが発生した時に、署名したCAとの整合性や有効期限を確認するなど、
情報を参照することは多々あります。フィールドとその意味をよく理解しておきましょう。
■例題作成者 株式会社デージーネット ソリューション開発部 森 彰吾 氏